Что такое IPv6, эквивалентный IPv4 RFC1918 адресам?
С трудом зацикливаюсь на IPv6 здесь. Похоже, что большая часть жаргонного языка нацелена на развертывание IPv6 на уровне предприятия, обсуждение локальных ссылок, локальных сайтов, глобальных одноадресных рассылок, областей и т. Д. Не так много достоверной информации о действительно небольших сетях, таких как домашние сети. Я хочу проверить свое мышление и убедиться, что я получаю правильные переводы с IPv4-речь на IPv6-речь.
Первый вопрос: что эквивалентно RFC1918 для IPv6? Первоначальные поиски показали, что не было никакого эквивалента. Затем я наткнулся на уникальные локальные адреса (RFC4193), и в нем говорится, что всем ULA должен быть присвоен префикс fc00за которым следует 40-битное случайное число в префиксе маршрутизации. Это случайное число должно "предотвращать коллизии, когда две сети IPv6 связаны между собой" - опять же, еще одна ссылка на функцию уровня предприятия.
Если у меня дома есть небольшая локальная локальная сеть, пронумерованная с помощью 192.168.4.0/24каков мой эквивалент в области ULA IPv6? Предполагая, что я никогда не буду связывать этот IPv6-адрес с реальным Интернетом (маршрутизатор будет NAT и брандмауэр его), могу ли я до некоторой степени игнорировать RFC и идти с fc00::4:0/120?
Также кажется, что любой адрес в fc00::/7 должны быть глобально маршрутизируемыми. Означает ли это, что мне понадобятся дополнительные средства защиты, чтобы мой маршрутизатор не начал автоматически публиковать эти частные IPv6-адреса в мире?
Второй вопрос, что это за местная ссылка? Рединг предлагает назначенный по умолчанию адрес в fe80::/10 диапазон, который имеет последние 64 бита адреса, состоящего из MAC-адреса интерфейса. Кажется, тоже требуется, но меня раздражает постоянное обсуждение этого вопроса в отношении корпоративных сетей.
Третий вопрос, для чего нужен идентификатор области? Похоже, это еще один термин, используемый в отношении корпоративных сетей, особенно при их соединении, но почти нет объяснения на уровне домашней сети меньшего размера.
Могу ли я видеть нотацию идентификатора области и CIDR, используемые вместе? То есть, fc00::4:0/120%6или идентификаторы области действия должны применяться только к одному /128 IPv6-адресу?
3 ответа
"Уникальный локальный адрес" - это именно то, что вы ищете. fc00::/7 дает вам достаточно битов, что если вы генерируете случайное число, а не просто выбираете одно, то вероятность столкновения невелика.
Означает ли это, что мне понадобятся дополнительные средства защиты, чтобы мой маршрутизатор не начал автоматически публиковать эти частные IPv6-адреса в мире?
В RFC, который охватывает эти ULA ( RFC4193), конкретно говорится, что эти номера не должны маршрутизироваться в Интернете, хотя два партнера могут взаимно согласиться на передачу определенных префиксов. Если Comcast не решит в одностороннем порядке направить их (маловероятно), вы не должны беспокоиться о рекламе маршрута.
Предполагая, что я никогда не буду связывать этот IPv6-адрес с реальным Интернетом (маршрутизатор будет NAT и брандмауэр его), могу ли я до некоторой степени игнорировать RFC и использовать fc00::4:0/120?
Не думай об этом. Например, Comcast в настоящее время проводит испытания IPv6, и они раздают /64 конечным пользователям (слайд 5); не только один адрес, который они делают с IPv4. Это означает, что их теперь работающие тестеры IPv6 имеют возможность работать с глобально маршрутизируемыми адресами, но с защитой от брандмауэра их маршрутизатором, или выполнять какой-то NAT с локальными или уникальными глобальными адресами.
Однако работа без какой-либо трансляции адресов не так безумна, как кажется. Имейте в виду несколько моментов.
- Comcast передает вам подсеть /64, поэтому ваш злоумышленник уже знает, как выглядит ваше IP-пространство.
- A /64 предоставляет невероятно большое количество потенциальных адресов. 2^64 стоит! Это четыре миллиарда IPv4-адресов в Интернете. (2^64 == 2^32 * 2^32. Четыре миллиарда раз четыре миллиарда.) Хотя характер автоматической инициализации IPv6 сокращает фактическое количество адресов, которые необходимо сканировать, сканирование по-прежнему невозможно.
- Если вы не настроите собственный домен для его предоставления, Comcast не будет предоставлять прямой или обратный поиск DNS для ваших /64-значных IP-адресов. Это значительно снижает способность злоумышленников пересматривать вашу сеть.
- Работа без NAT облегчает некоторые проблемы в сети и, безусловно, делает нежелательными, но очень популярными одноранговыми технологиями (вы знаете, о чем я говорю) намного проще в настройке и запуске.
Работать без брандмауэра все же так же безумно, как кажется. К счастью, вы можете сделать межсетевой экран без необходимости NAT.
Второй вопрос, что это за местная ссылка?
Думайте об этом как о способном достичь чего-либо в текущем широковещательном домене, и не может быть маршрутизировано Как NetBEUI-of-old. Фактически, если ваша домашняя сеть полностью плоская, вы можете использовать эти адреса вместо уникальных локальных адресов.
Третий вопрос, для чего нужен идентификатор области?
Он используется для двух разных вещей, что раздражает описывать:
Дело 1: Многоадресная рассылка. Он определяет, как многоадресный пакет предназначен для достижения.
Вещество 2: (то, что я думаю, вы имеете в виду) Это используется в URI как способ определения, какой интерфейс использовать. Он используется в основном с локальными адресами. Он никогда не должен использоваться вместе с нотацией CIDR, поэтому два синтаксиса никогда не должны объединяться.
Вы не должны использовать адрес, начинающийся с fc00:
Как объясняется в RFC 4193, это 7-битный префикс. Все после этих первых 7 бит должно быть заполнено, как описано в RFC. Определенный в настоящее время метод всегда создает адрес, который начинается с FD. 00 следует заменить случайными числами, и следующие две группы по 16 битов также должны быть случайными, составляя в общей сложности 40 битов.
В Интернете есть много страниц, которые могут сгенерировать одну для вас. Я просто хочу, чтобы один из этих сайтов получил пример того, как такой префикс может выглядеть как fdae:a212:e94d::/48
Как вы указали, эти адреса являются глобальными одноадресными, но они не должны быть глобально маршрутизируемыми. Если ваш маршрутизатор по умолчанию направляет их извне, было бы неплохо настроить фильтры для предотвращения этого. Ваш восходящий канал также должен фильтровать, поэтому он будет направляться за пределы вашей сети только в том случае, если вы оба неправильно настроили маршрутизаторы.
Все адреса, начинающиеся с fe80: что-то локальное. Вы можете думать, что "связью" являются все компьютеры, подключенные к коммутируемой сети без маршрутизаторов. Таким образом, эти IPv6-адреса могут использоваться только для связи в этой сети.
Самое трудное для нас, людей, - это, вероятно, то, что машины теперь настраиваются сами. Существует протокол под названием Neighbor Discovery Protocol (NDP), который заботится о том, чтобы сказать "привет" всем остальным машинам в сети.
Если вы не хотите, чтобы машины имели доступ к Интернету, просто не устанавливайте маршрутизатор.
Вы можете настроить ipv6 вручную или с помощью сервера DHCP, но вам это не нужно. Это одна из хороших новостей с ipv6.